SECURITM делает безопасность доступной и эффективной
Николай Казанцев, 11/03/25
Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
– Николай, расскажите о своем пути от студента до основателя компании.
– Информационная безопасность увлекла меня еще в школьные годы, поэтому выбор профессии был вполне осознанным. Я поступил в Государственную морскую академию им. адмирала С.О. Макарова в Санкт-Петербурге на направление "Комплексное обеспечение информационной безопасности". Учился с интересом, окончил с красным дипломом, параллельно начал профессиональную деятельность в "Лаборатории противодействия промышленному шпионажу", где погрузился в практические аспекты защиты информации.
После учебы я продолжил карьеру в госсекторе, занимаясь защитой государственных информационных систем в Администрации Санкт-Петербурга. Работа в этой сфере принесла мне не только ценный опыт, но и медаль ФСТЭК России за укрепление государственной системы защиты информации.
Затем я перешел в коммерческий сегмент и занял позицию CISO в промышленной фармацевтической компании "Полисан". Здесь передо мной встали совершенно иные вызовы: если в госструктурах основным ориентиром была российская регуляторика, то в коммерческом секторе было принято работать по международным стандартам: SWIFT, ISO 27000 и др.
Накопленный опыт помог понять специфику разных отраслей и вдохновил на создание SECURITM – платформы, которая объединяет лучшие практики в области информационной безопасности. SECURITM – это результат многолетнего опыта, переработанный в удобное, функциональное и доступное решение для управления информационной безопасностью.
– С чего начинается безопасность в общем и в частности?
– Вопрос, надо сказать, носит философский характер. Если говорить о безопасности в целом, о стремлении к ней, о ее укреплении, то – с осознания рисков. Это касается любой сферы, не только информационной безопасности. Важно понимать, что может пойти не так, и заранее принимать меры. На практике, к сожалению, зачастую безопасность становится приоритетом только после инцидентов. То есть, когда риски реализовались, а ущерб уже нанесен.
Идеальный подход к безопасности – системный. Система безопасности включает в себя не только технологии, но и людей, а также процессы и повторяемые процедуры. Только при таком комплексном подходе можно говорить о достижении какого-либо уровня защищенности.
– Какими были первые шаги при создании SECURITM?
– Вначале пришло осознание, что мне как CISO не хватает инструмента для эффективной работы. Мне хотелось выстроить четкую и слаженную систему информационной безопасности. У меня были технические средства защиты, но не было удобного и простого инструмента, который позволил бы структурировать все процессы. На рынке просто не было подходящего продукта для построения системы управления безопасностью. Именно тогда и зародилась идея создания SECURITM – платформы, которая стала бы единой точкой управления для всех процессов в сфере информационной безопасности.
Если использовать общепринятую терминологию, то это платформа класса SGRC (Security Governance, Risk and Compliance), но на самом деле она гораздо шире. Это единая точка для всех организационных процессов службы информационной безопасности.
Миссия, которую мы заложили в этот продукт, заключается в том, чтобы он стал инструментом, доступным любому специалисту по безопасности. Наша цель – дать каждому возможность выстраивать свою систему защиты правильно, красиво и эффективно.
– Управление рисками – обширная и многогранная область со множеством параметров. В чем заключается уникальность вашей системы?
– Когда речь заходит о рисках, стоит отметить, что изначально мы создавали SECURITM с фокусом на эту задачу. Первые модули системы были посвящены управлению рисками, поскольку риск-менеджмент – не просто сложный процесс, а значительно более комплексная дисциплина, чем, например, соответствие требованиям по управлению уязвимостями или защита информационных систем. Именно поэтому работать с рисками, используя подручные инструменты вроде Excel или текстовых файлов, не только неэффективно, но и зачастую практически невозможно.
Многие службы информационной безопасности так и не доходят до полноценного управления рисками. Хотя все понимают, что риск-ориентированный подход (или как его теперь нередко называют, подход, основанный на недопустимых событиях бизнеса), – это необходимость, а не теория. Реализация риск-ориентированного подхода требует значительных усилий. В этот момент на помощь приходит SECURITM. Наша система была создана с одной ключевой целью – сделать процесс риск-менеджмента простым и доступным.
Сегодня запуск управления рисками в SECURITM занимает всего пять минут. Уже на этапе базовой настройки пользователь получает реестр рисков, план их обработки, постановку задач и описание процессов. Это позволяет компаниям быстро выйти из состояния неопределенности и начать системную работу.
Дальше – больше: систему можно адаптировать под специфику бизнеса, его уникальные особенности и потребности. SECURITM делает возможным то, на что раньше просто не хватало времени и ресурсов. Он превращает сложную и трудоемкую задачу в понятный, удобный и эффективный процесс, открывая новые горизонты в управлении рисками.
– SECURITM – это инструмент, который можно легко интегрировать в любую систему заказчика? Я правильно понимаю, что он подходит для любых организаций?
– Именно так. Мы изначально заложили в SECURITM фундаментальные принципы риск-менеджмента, а также включили в систему всю необходимую регуляторную базу для различных отраслей. В результате сегодня среди наших клиентов – более семидесяти компаний, представляющих практически все сферы экономики. Это государственные структуры, финансовый сектор, ретейл, промышленность, ИТ-компании.
Каждая отрасль сталкивается со своими уникальными вызовами. Для финансового сектора особенно важны стандарты, такие как ГОСТ Р 57580, и нормативные требования Центрального Банка. Промышленные предприятия ориентируются на обеспечение отказоустойчивости производственных процессов. Государственные структуры работают в рамках строгих учетных процедур, регулируемых 17-м приказом ФСТЭК России. Наша система позволяет решать все эти задачи.
SECURITM предлагает гибкость: пользователь сам формирует свой процесс управления безопасностью, начиная с наиболее актуальных задач, постепенно расширяя функциональность системы. Из этих микропроцессов складывается уникальная, идеально адаптированная под конкретную компанию система информационной безопасности.
– Вы оказываете поддержку своим заказчикам?
– Безусловно. Каждый заказчик – не просто клиент, а полноценный член нашей команды, часть единого сообщества. Мы ценим доверие к нашим подходам и идеям. Выбирая SECURITM, они не только развивают свою систему информационной безопасности, но и вносят вклад в развитие самого продукта.
– Как ваша платформа меняет работу заказчика? Как она влияет на внутренние процессы?
– Раньше инженер или руководитель службы безопасности ежедневно сталкивался с хаосом разрозненных инструментов. Консоли средств защиты, бесконечные Excel-файлы: в одном – журнал обращений субъектов ПДн, в другом – учет СКЗИ, в третьем – инциденты, где-то еще – реестр информационных систем. А помимо этого – ИТ-система CMDB, в которой нужно было что-то отыскать, сверить, связать с другими данными, чтобы понять, что именно ты собирался сделать и зачем. Такая фрагментированность не только усложняла работу, но и порождала неопределенность.
SECURITM создает единую точку управления, где собираются организационные процессы, данные со всех технических средств защиты, информация из ИТ-инфраструктуры – будь то Active Directory или CMDB-система управления активами.
Теперь в одном окне можно видеть всю картину безопасности: какие устройства есть в сети, работает ли на них антивирус, когда были зафиксированы последние инциденты, с какими бизнес-системами связаны эти устройства, кто их владелец, насколько критична эта система для бизнеса, какие риски с ней связаны, каким требованиям регуляторов она должна соответствовать. SECURITM объединяет все эти аспекты, давая возможность контролировать безопасность компании сразу с нескольких точек зрения: с позиции регуляторных требований, риск-менеджмента, технических метрик и аналитики.
Я говорю о SECURITM не просто как о продукте, а как о концепции. О том, как должно выглядеть управление информационной безопасностью в идеале. Но важно понимать, что, установив систему и нажав одну кнопку, невозможно сразу получить идеально настроенную ИБ-инфраструктуру. Для построения идеальной инфраструктуры нужно пройти определенный путь, в процессе которого, словно из кубиков, создается защита, где каждый предыдущий этап становится фундаментом для следующего шага.
Например: сначала вы настраиваете процесс управления техническими уязвимостями, загружая в SECURITM данные из сканеров безопасности. Затем решаете ввести реестр бизнес-систем или учет информационных систем персональных данных (ИСПДн). И вдруг эти два процесса начинают дополнять друг друга. В итоге критичные ИСПДн автоматически повышают приоритет устранения уязвимостей именно в ключевых системах; данные о технических уязвимостях связываются с ИСПДн и отображаются в карточке каждой системы; вы не теряете информацию, не дублируете работу, не начинаете все с нуля после каждого аудита.
В традиционной модели через полгода после проверки компании вынуждены повторять аудит, потому что данные либо потерялись, либо устарели. SECURITM создает экосистему, где все взаимосвязано, где процессы развиваются органично, формируя целостную картину безопасности. SECURITM не просто инструмент – это путь к созданию идеальной системы информационной безопасности, которая работает на вас, а не против вас.
– У вас есть интересные кейсы внедрения?
– Конечно, таких кейсов немало. Например, один из наших клиентов, еще на этапе пилотного проекта, подключил SECURITM к Active Directory, Kaspersky и CMDB. Буквально сразу, используя модуль метрик, он выявил серьезные нарушения в работе ИТ-службы: незаблокированные учетные записи, некорректные права доступа. Уже на этом этапе система принесла ощутимую пользу, и заказчик принял решение о полномасштабном внедрении. Это был один из самых быстрых кейсов, когда ценность решения проявилась практически моментально.
Другой пример, где заказчик – крупная организация с более чем пятидесятью дочерними структурами, каждая из которых обязана регулярно отчитываться перед головным офисом по вопросам информационной безопасности. С помощью модуля требований и модуля опросов в SECURITM они автоматизировали эти процессы: теперь филиалы проходят регулярное анкетирование, прикладывают подтверждающие документы аудита, получают оценки и сравниваются друг с другом в рамках бенчмарка. В данный момент они проводят уже третий цикл переоценки, отслеживают динамику развития своих дочерних компаний и уровень их зрелости в информационной безопасности. Этот процесс живет и развивается уже несколько лет, его ценность для бизнеса очевидна.
Еще один распространенный кейс связан с соблюдением ГОСТ Р 57580. Многие компании при проведении аудитов по требованиям регуляторов просто получают стандартный бумажный отчет, но наши клиенты пошли дальше: они включают в требования к аудиторам условие занесения результатов аудита прямо в SECURITM. Таким образом, система не только генерирует официальные документы, но и создает цифровую модель управления безопасностью, которая остается с заказчиком и может использоваться для дальнейшей работы. Это создает уникальный эффект синергии между заказчиком, аудитором и системой, что значительно повышает эффективность процесса.
Еще один тренд, который только набирает популярность, – управление инцидентами безопасности. Чаще всего такие задачи решаются в IRP-системах, но мы нашли иной подход. Комбинируя модуль активов, автоматизацию RPA и различные интеграции, можно создать удобный автоматизированный процесс по учету и устранению инцидентов. Уже сейчас несколько компаний протестировали эту схему и начали активно внедрять ее у себя.
– SECURITM – это дорого?
– Мы не скрываем стоимость нашего продукта, у нас открытый прайс-лист и калькулятор цен прямо на сайте. Например, локальная версия с базовым набором модулей сейчас стоит менее миллиона рублей. Мы – самая доступная система SGRC на рынке в данный момент.
– Что делать, если служба информационной безопасности ограничена в бюджете?
– В таком случае можно сразу зарегистрироваться в Community-версии и уже через пять минут приступить к работе: создать реестр рисков, планы обработки, провести оценку соответствия требованиям. Конечно, Community-версия не дает возможности развернуть полноценную инфраструктуру, но для первых шагов и систематизации работы она подходит.
А когда возникнет необходимость интеграций или потребуется локальная версия, то процесс можно легко масштабировать. После приобретения локальной версии мы помогаем перенести данные из облачной среды в инфраструктуру компании, сохраняя все наработки.
– Расскажите подробнее, какие возможности предоставляет Community-версия и как начать ею пользоваться?
– Мы выпустили Community-версию в момент запуска продукта. SECURITM Community – полноценный инструмент с ценнейшей базой знаний. В нем собрана уникальная сквозная корреляция регуляторных требований из более чем ста стандартов, что позволяет видеть аналогичные требования разных нормативных документов в одном интерфейсе. Помимо этого, пользователи получают доступ к готовым проектам рисков и защитных мер, которые связаны между собой и с нормативными требованиями. Мы постоянно создаем новый контент и делимся им в SECURITM Community.
И, наконец, третья ключевая особенность Community-версии – возможность взаимодействия и обмена знаниями между участниками сообщества. Каждый специалист может использовать наши наработки, а также публиковать собственные проекты защитных мер, комментировать существующие решения, дополнять их. Таким образом, сообщество совместно развивает базу знаний и способствует профессиональному росту всей отрасли.
SECURITM Community востребована в образовании. Ряд вузов используют ее в учебном процессе, обучая студентов риск-менеджменту, регуляторике и управлению активами. Это наш вклад в развитие отрасли и подготовку новых специалистов.
Мы видим в этом сильную точку роста для всей сферы информационной безопасности. Ведь когда специалисты делятся лучшими практиками и адаптируют их под свои задачи, выигрывают все – и конкретные компании, и рынок в целом.
– Наверное, и для вас этот процесс становится источником идей для дальнейшего развития продукта?
– Безусловно. Мы развиваем SECURITM динамически, опираясь на запросы наших заказчиков и пользователей Community-версии. В облачной системе у нас даже есть специальный раздел "Обратная связь", где каждый может предложить свою идею – что ему не хватает, какие функции хотелось бы видеть. А другие пользователи голосуют за наиболее востребованные предложения, помогая нам расставлять приоритеты. Именно так, совместно с профессиональным сообществом, мы шаг за шагом создаем идеальную систему управления процессами ИБ.
Будучи вендором, мы несем ответственность за развитие всей отрасли. Именно поэтому вкладываемся в сообщество: через Community-версию, открытый контент, взаимодействие с пользователями. Мы не просто создаем коммерческий продукт – мы стремимся передавать знания, формировать культуру управления ИБ и помогать профессиональному сообществу расти вместе с нами.
– В чем суть автоматизации в современных процессах информационной безопасности? Как вы применяете автоматизацию в SECURITM?
– Самый ценный ресурс сегодня – время. Время квалифицированных специалистов, время службы информационной безопасности, время всей компании. Автоматизация – это способ освободить специалистов от рутинных задач, не увеличивая штат, что особенно важно в условиях острой нехватки кадров на рынке.
В SECURITM процесс автоматизации строится постепенно и органично. Безопасник начинает с ручного выполнения задач, например управления уязвимостями, актуализации анкет с персональными данными, выпуска регламентов или оценки соответствия. Затем приходит понимание, что многие из этих действий можно автоматизировать. На этом этапе в дело вступает модуль RPA (Robot Process Automation), который позволяет создавать микропроцессы из набора триггеров и операций, снимая с человека часть рутинных действий. Принцип простой: все, что может делать машина, должна делать машина.
Беседовала Светлана Хафизова.